Contents [show]

Informationen zur Sicherheitsanfälligkeit in Zombieload / MDS

Patch-Release-Zeitplan


Informationen zur Sicherheitsanfälligkeit in Zombieload / MDS

Sicherheitslücken werden zu Stars mit ausgeflippten Namen und eigenen Websites.

Die neuesten, die die Szene treffen, sind Zombieload, RIDL und Fallout, auch bekannt als Microarchitectural Data Sampling (MDS kurz), entdeckt von Intel und recherchiert von akademische Abteilungen bei sicherheitsrelevanten Institutionen auf der ganzen Welt. Diese Sicherheitsanfälligkeiten sind mit Spectre und Meltdown vergleichbar und stellen Konstruktionsfehler dar, die Daten offenlegen. Zombieload ist besonders besorgniserregend, da es alle seit 2011 hergestellten Intel Core- und Xeon-CPUs betrifft.

Es gibt vier verschiedene Schwachstellenregistrierungen, die zusammen einen Zombieload-Exploit ermöglichen: CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 und CVE-2019-11091. Schauen Sie sich die Codes an und Sie werden sehen, dass im letzten Jahr drei registriert wurden. Das Problem wurde geheim gehalten, eine Praxis, die als bekannt ist Koordinierte Offenlegung, um zu verhindern, dass "schlechte Schauspieler" Schwachstellen ausnutzen, bevor der Rest von uns sich gegen sie verteidigen kann. Microsoft, Amazon AWS und Google haben alle das Problem in ihren Rechenzentren gemildert, da sie sich im „inneren Kreis“ der Unternehmen befinden, die von der Vorankündigung solcher Probleme profitieren. Alle anderen müssen auf ein Update ihres Betriebssystemherstellers warten.

KernelCare hat am Freitag, dem 17-Mai, mit dem Testen von Live-Patches für MDS begonnen und diese zuerst für die Hauptdistributionen und später für andere Distributionen bereitgestellt. Für die neuesten Nachrichten folgen Sie uns auf @KernelCare.

Während wir für Sie an Patches arbeiten - schauen Sie sich das Video mit den Erkenntnissen zu MDS von Igor Seletskiy an:

So verringern Sie die Sicherheitsanfälligkeit in MDS / Zombieload

a) Wenn Sie mit Hardware arbeiten

Um diese Sicherheitsanfälligkeit zu verringern, müssen Sie die erforderlichen 3-Schritte ausführen kein Neustart Wenn Sie die folgenden Anweisungen befolgen:

Schritt 1:

Aktualisieren Sie den Microcode ohne Neustart

Microcode ist der Code, der in der CPU selbst ausgeführt wird und von Intel verarbeitet wird. Das Microcode-Update wird normalerweise beim Neustart durchgeführt: Sie erhalten den neuen Kernel, dieser hat einen neuen Microcode und installiert beim Neustart des Kernels einen neuen Microcode in der CPU.

Sie können den Mikrocode ohne Neustart aktualisieren unter Verwendung unserer Anweisungen.

Schritt 2:

Deaktivieren Sie Hyperthreading ohne Neustart

Wenn Sie das simultane Multithreading (SMT) der CPU nicht deaktivieren, besteht weiterhin das Problem, dass der Angreifer die Daten derselben CPU lesen kann.

Mit KernelCare können Sie Hyperthreading ohne Neustart deaktivieren unter Verwendung unserer Anweisungen.

Schritt 3:

Wenden Sie KernelCare-Patches an

Auch wenn Sie die Schritte 1 und 2 ausgeführt haben, müssen Sie den Linux-Kernel aktualisieren, um sicherzustellen, dass der lokale Benutzer die auf der CPU ausgeführten Daten nicht lesen kann.

Mit KernelCare können Sie dies tun, ohne einen Neustart durchführen zu müssen. Melden Sie sich für die kostenlose 30-Tage-Testversion an.

b) Wenn Sie auf einer virtuellen Maschine arbeiten

Sie müssen nur den Linux-Kernel in der VM patchen. Stellen Sie sicher, dass auch Ihr Hostknoten aktualisiert wird, was normalerweise von Ihrem Dienstanbieter durchgeführt wird.

Wenn Sie mit KernelCare arbeiten, werden Ihre Patches automatisch von KernelCare bereitgestellt und Sie müssen keine weiteren Schritte ausführen.

Wenn nicht, ist dies der richtige Zeitpunkt, um Melden Sie sich für die kostenlose 30-Tage-Testversion an.

Release-Zeitplan für das MDS / Zombieload-Schwachstellen-Patch

Aktualisiert Freitag, Mai 24

Der Zeitplan für die Veröffentlichung des KernelCare-Patches ist unten aufgeführt. Release-Pläne können sich ändern. Informieren Sie sich regelmäßig hier oder wenden Sie sich an unseren Helpdesk.

Zur Produktion freigegeben:

  • 6 CentOS
  • CentOSPlus für CentOS 6
  • CloudLinux OS 6
  • Ubuntu 18.04 LTS (Bionic Beaver)
  • Ubuntu 16.04 LTS (Xenial Xerus)
  • Oracle Enterprise Linux 6
  • Oracle Enterprise Linux 7
  • Oracle UEK 3
  • OpenVZ
  • Proxmox VE
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7

Patches aus dem Produktionsfeed werden automatisch angewendet.

Freigegeben für den Testfeed:

  • 7 CentOS
  • CentOSPlus für CentOS 7
  • Cloud Linux 6 Hybrid

So installieren Sie Patches von der Testfutter, führe den Befehl aus:

kcarectl --test --update

Wenn Produktionsaktualisierungen verfügbar sind, verwendet KernelCare den regulären Feed automatisch.

Voraussichtlicher Freitag, Mai 24

  • Debian 8
  • Debian 9
  • CloudLinux OS 7
  • Oracle Enterprise Linux

Voraussichtlicher Montag, Mai 27

  • Amazon Linux 1
  • Amazon Linux 2
  • 7 CentOS
  • CentOSPlus für CentOS 7
  • Oracle UEK 4
  • Oracle UEK 5
  • Ubuntu 14.04 LTS (Trusty Tahr)
Neuer Handlungsaufruf

31 Kommentare

  1. Warum besteht Igor Seletskiy darauf, die Stimme zu sein, niemand kann ein verdammtes Wort verstehen, das er sagt. Wir verstehen, dass er hinter dem Anfang steht, aber FFS bekommt jemanden, der die Stimme in diesen Videos sein kann!

    1. Hallo meine, das ist Aleksandra Mitroshkina, Product Marketing Manager von KernelCare.
      Es tut mir leid, dass Sie Schwierigkeiten hatten, den Redner zu verstehen. Wir werden an dem Voice-Over arbeiten, um Ihnen in Zukunft verständlichere Inhalte zur Verfügung zu stellen. Vielen Dank für Ihr Feedback!

    1. Hallo Andre, ich bin mir nicht sicher, ob du dich auf Patches oder Anleitungen beziehst, also werde ich beide beantworten. Wir sind jetzt in der Testphase mit Patches. Für einige Distributionen sollten Patches Anfang nächster Woche verfügbar sein.
      Die in einem Video und einem Blogbeitrag erwähnten Anleitungen werden veröffentlicht, sobald die ersten Patches in Produktion sind.

    1. Hallo Max, wir testen gerade die Patches.
      Wir planen, ab Anfang nächster Woche Patches zu liefern.
      Bleiben Sie dran für die Updates.

    1. Hallo Arthur, danke für deine Frage.
      Ja, wir haben dies in der Pipeline. Folgen Sie unseren Social-Media-Kanälen, um auf dem Laufenden zu bleiben.

    2. Hallo Arthur, ich fürchte, dass ich Ihnen aufgrund der internen Fehlkommunikation die falschen Informationen zu unseren zukünftigen Plänen für den OpenVZ 7-Support von KernelCare zur Verfügung gestellt habe. Wir planen nicht, diese Distribution zu unterstützen.

  2. Wenn ich Cloudlinux OS mit Kernel Care auf meinem Server habe, wird dies mit Kernel Care aktualisiert? Oder muss ich etwas manuell machen?

    1. Hallo Donovan, Sie müssen die Mikrocode-Aktualisierung und die SMT-Deaktivierung durchführen. Bevor Sie dies jedoch tun, diagnostizieren Sie Ihre Sicherheitsanfälligkeit anhand der Anleitung in diesem Handbuch Artikel vom CloudLinux OS-Team.

      Wenn Sie ein Mictocode-Update und eine SMT-Deaktivierung durchführen (Sie wissen, ob Sie es über den obigen Link deaktivieren müssen), werden Linux-Kernel-Patches von KernelCare automatisch ohne Neustart bereitgestellt.

      1. Grundsätzlich funktioniert dies nicht, wenn Sie seit einiger Zeit nicht neu gestartet haben, da diese nicht vorhanden sind:
        / sys / devices / system / cpu / Schwachstellen

  3. Warum funktioniert ein Kernel-Update nur für VMs? Ist ein aktualisierter Hypervisor und Neustart nicht nötig. Ich habe auch aktualisierte qemu-Pakete für die md-clear-Flagge gesehen.

    1. Hallo Stefan, Es funktioniert auch für harte Knoten, aber Sie müssen den Mikrocode aktualisieren und SMT deaktivieren - dann werden die Patches automatisch angewendet - und ohne Neustarts, wenn Sie KernelCare verwenden.

        1. Hallo Stefan,
          Nun, md-clear in qemu ist ein bisschen in cpuid für die Gästeinformationen.
          Der gepatchte Kernel aktiviert in jedem Fall den Schutz.

  4. Können Sie möglicherweise CloudLinuxs Upstream (CentOS, denke ich?) Fragen, wann sie microcode_ctl mit den neuesten Mikrocodes aktualisieren, die zum Beispiel E5 v4-CPUs patchen werden? Die Patches sind seit ungefähr einer Woche nicht mehr verfügbar, es wurde jedoch kein Update für das Paket microcode_ctl durchgeführt

    Alternativ kann CloudLinux ein aktualisiertes Paket mit 20190514 und nicht mit 20190507 pushen - auf diese Weise können wir, auf denen v4- und v3-CPUs ausgeführt werden, auch Patches installieren.

      1. Hallo Alexandra,

        Das von CloudLinux und CentOS bereitgestellte Paket microcode_ctl enthält die Mikrocodes 20190507 und nicht 20190514 (das neueste).

        20190514 führt seit 20190507 einige neue Mikrocode-Versionen ein:

        VLV C0 6-37-8 / 02 00000838 Atom Z-Serie
        VLV C0 6-37-8 / 0C 00000838 Celeron N2xxx, Pentium N35xx
        VLV D0 6-37-9 / 0F 0000090c Atom E38xx
        CHV C0 6-4c-3 / 01 00000368 Atom X-Serie
        CHV D0 6-4c-4 / 01 00000411 Atom X-Serie
        BDX-ML B0 / M0 / R0 6-4f-1 / ef 0b00002e-> 00000036 Xeon E5 / E7 v4; Core i7-69xx / 68xx
        DNV B0 6-5f-1 / 01 00000024-> 0000002e Atom C-Serie

        1. Hallo Lucas, Sie haben Recht, im Moment enthält das von CloudLinux und CentOS bereitgestellte Paket microcode_ctl nur den 20190507-Mikrocode, nicht 20190514. Der Grund dafür ist, dass wir normalerweise die Upstream-Updates von RHEL / CentOS verfolgen. Sobald dieser Mikrocode im Upstream erscheint, stellen wir ihn für CloudLinuxOS bereit.

      2. That microcode update manual is for RHEL7 only. It is not correct for CL6...

        stat: cannot stat `/usr/libexec/microcode_ctl/update_ucode': No such file or directory

        stat: cannot stat `/sys/devices/system/cpu/microcode/reload': No such file or directory

        1. Hello Deyan, thank you for bringing this to my attention! We are working on fixing the documentation now. Please accept my apologies for the inconvenience. I will mention you in comments when we fix it.

      3. On Intel(R) Xeon(R) CPU E5-2640 v4 @ 2.40GHz server running CL7 and SMT disabled with # echo off > /sys/devices/system/cpu/smt/control
        Microcode and Kernel upgraded with #yum upgrade microcode_ctl && yum install kernel-3.10.0-962.3.2.lve1.5.25.8.el7
        Server rebooted.
        # cat /sys/devices/system/cpu/vulnerabilities/mds returns the following;
        Vulnerable: Clear CPU buffers attempted, no microcode; SMT disabled

        1. INCORRECT, PLEASE DISREGARD THIS: Hi Paul, you need to update the actual microcode as described hier, upgrading microcode_ctl package is not enough

          1. Hi Alexandra, that is not true. That manual is only to update microcode without reboot. Reboot should always apply new microcode, but it looks like that is not happening after your latest microcode_ctl package upgrade, so "/sys/devices/system/cpu/vulnerabilities/mds" always return "no microcode", even when microcode is applied manually.

          2. Hello Deyan, can you please create a ticket to our support team hier. My colleagues will be able to dig deeper into technical details of your case and we will avoid back-and-forth in comments. Thank you!

          3. I think my post wasn't understood well. Do you mean you are now pushing microcode_ctl package 20190514 (which is the latest) and supports E5 v4 CPUs?
            Lucas Rolff asked when you'd support the same, and you asked which error he was getting trying to apply 20190507. In your response to him, you confirmed that the microcode_ctl package supplied by CloudLinux and by CentOS at the moment only contains the 20190507 microcode, not 20190514 which supports E5 v4 CPUs. So as at now, those of us using E5 v4 CPUs haven't patched up because the 20190507 microcode which you've supplied doesn't work for E5 v4 CPUs.

            Since you had asked Lucas for the error and he didn't provide. I proceeded and did. But I think your answer has pointed me to a different direction.

          4. Paul, Lucas, Deyan, sorry to misinform you - we have to wait for 20190514 microcode to become available from the upstream - we'll release it in CL OS soon after that

XHTML: Sie können diese Tags verwenden: <a href="" title=""> <abbr title = ""> <acronym title = ""> <b> <blockquote cite = ""> <cite> <code> <del datetime = ""> <em i> <> <q cite = ""> <s> <strike> <strong>

Haben Sie Fragen?

Wenn Sie eine KernelCare-Demo planen, Fragen haben oder Test- und Verkaufsanfragen haben, rufen Sie uns bitte an + 1 (800) 231-7307, E-Mail [Email protected], oder Füllen Sie dieses Formular aus.